Mais de 30 bugs ou falhas de segurança em plugins e temas do WordPress são a porta de entrada de um novo malware, que mira servidores e sistemas rodando na plataforma Linux. A praga realiza tentativas sucessivas de intrusão contra os domínios, utilizando as vulnerabilidades, até encontrar uma que funcione, implantando códigos maliciosos para redirecionar usuários a domínios perigosos, que continuem a cadeia de contaminação.
O objetivo final é obter controle das plataformas remotamente para a realização de golpes de phishing, entrega de novos vírus ou obtenção de dados. O método, entretanto, é mais generalizado, com servidores Linux de 32 e 64 bits na mira, com os sites sendo submetidos de forma sucessiva a testes envolvendo as extensões comprometidas, até que uma seja encontrada e explorada de forma automática.
Os plugins são dos mais diferentes tipos e vão desde assistentes de atendimento para chats em redes sociais até a customização de elementos visuais, doações, integrações e modos de manutenção. Confira a lista:
- WP Live Chat Support Plugin
- WordPress – Yuzo Related Posts
- Yellow Pencil Visual Theme Customizer Plugin
- Easysmtp
- WP GDPR Compliance Plugin
- Newspaper Theme on WordPress Access Control
- Thim Core
- Google Code Inserter
- Total Donations Plugin
- Post Custom Templates Lite
- WP Quick Booking Manager
- Facebook Live Chat by Zotabox
- Blog Designer WordPress Plugin
- WordPress Ultimate FAQ
- WP-Matomo Integration (WP-Piwik)
- WordPress ND Shortcodes For Visual Composer
- WP Live Chat
- Coming Soon Page and Maintenance Mode
- Hybrid
- Brizy WordPress Plugin
- FV Flowplayer Video Player
- WooCommerce
- WordPress Coming Soon Page
- WordPress theme OneTone
- Simple Fields WordPress Plugin
- WordPress Delucks SEO plugin
- Poll, Survey, Form & Quiz Maker by OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher
- Rich Reviews plugin
De acordo com relatório da Dr. Web, empresa de cibersegurança responsável pela revelação da praga, se trata de um malware em constante desenvolvimento. Quando a análise por seus especialistas começou, eram 19 alvos, com o total aumentando para 30 em uma atualização posterior e indicando que mais podem estar a caminho. Além disso, a busca massiva por comprometimentos para diferentes fins também pode indicar uma operação de intrusão como serviço, com o acesso sendo vendido a terceiros para a realização de ataques.
A praga também possui recursos que se encontram desativados, como tentativas de intrusão a painéis de administradores dos sites por meio de força bruta. Na soma de todos estes fatores, sites abandonados ou sem manutenção acabam sendo o alvo preferido, tanto pela presença de extensões desatualizadas ou que não recebem mais suporte de seus desenvolvedores quanto pela falta de elementos mais avançados de proteção e segurança.
A recomendação, então, é justamente pela atualização. Os plugins listados, principalmente, devem estar rodando em suas versões mais recentes, que já não possuem a abertura usada, ou substituídos por outros caso não recebam mais patches de segurança. Além disso, os administradores devem usar autenticação em duas etapas para acesso a painéis e monitorar acessos aos sistemas de controle e também servidores, de forma a detectar situações suspeitas.
Fonte: Dr. Web